Torna al Blog

GPS come piattaforma crittografica nascosta: cosa cambia per il tuo threat model sotto NIS2 e DORA

·5 min lettura
GPS come infrastruttura crittografica nascosta - threat model NIS2 e DORA

Il 26 maggio 2011, tutti e 31 i satelliti della costellazione GPS operativa trasmisero lo stesso segnale identico entro poche ore. Non era un'anomalia tecnica: era l'attivazione coordinata di OTAD, il sistema con cui il Pentagono distribuisce chiavi crittografiche militari via satellite — nascosto nel segnale civile GPS da almeno quindici anni senza documentazione pubblica.

Il 5 giugno 2026, 404 Media ha pubblicato la ricerca di Steven Murdoch, Professor of Security Engineering all'UCL (University College London), che ha analizzato oltre 12 milioni di osservazioni dal dataset GNSS pubblico raccolto dal 2007. Murdoch ha trovato 3.994 messaggi unici da 176 bit nel campo Subframe 4, Page 17 del segnale L1 C/A — il segnale civile GPS strutturalmente aperto — dove la specifica tecnica recita: «reserved for special messages with the specific contents at the discretion of the Operating Command». Bruce Schneier ha commentato il 9 giugno 2026 scrivendo che il sistema è attivo «da quasi vent'anni».

OTAD — Over-the-Air Distribution — è la variante GPS del protocollo OTAR (Over-the-Air Rekeying), sviluppato dalla NSA (inventore: Mahlon Doyle) e introdotto operativamente nel 1988. Lt. Cmdr David Winters (US Navy) ne curò il primo deployment in marina tra il 1988 e il 1994. Documenti militari declassificati del 2015 — presentazione del Maj Scott Tyley, Space and Missile Systems Center — attestano operatività continua su tutti i satelliti GPS dal marzo 2011. La prima traccia nel dataset pubblico risale al febbraio 2010.

Cosa è cambiato con la scoperta OTAD

Il punto non è il dettaglio tecnico militare. Il punto è strutturale: un'infrastruttura pubblica universalmente considerata «passiva» (il GPS trasmette, non riceve) trasportava in parallelo dati crittografici classificati in un campo formalmente documentato come «riservato» — disponibile a qualsiasi ricevitore GPS civile di tutto il mondo.

Il «smoking gun» del 26 maggio 2011

Nell'archivio GNSS pubblico, il 26 maggio 2011 tutti e 31 i satelliti operativi trasmisero lo stesso identico segnale sentinel entro poche ore. Murdoch identifica questo evento come prova determinante: la probabilità che 31 satelliti indipendenti producano lo stesso contenuto nei 176 bit riservati per coincidenza è trascurabile. Era un'operazione coordinata di distribuzione chiavi su scala globale.

Come funziona OTAD nel segnale civile

Il Subframe 4, Page 17 del segnale L1 C/A contiene un campo di 176 bit lasciato «a discrezione del Comando Operativo». Il contenuto è cifrato — inaccessibile ai ricevitori civili — ma l'esistenza del campo e i metadati del pattern sono stati rilevati nel dataset pubblico: 3.994 messaggi unici su 12 milioni di osservazioni. Il segnale militare M-code (introdotto dal 2005 sui satelliti IIR-M) è un livello separato e aggiuntivo; OTAD opera sul canale civile L1 C/A.

Il contrasto con Galileo

Il sistema europeo Galileo ha introdotto OSNMA (Open Service Navigation Message Authentication), diventato fully operational nel luglio 2025. OSNMA include OTAR per il rinnovo delle chiavi, ma con una differenza sostanziale rispetto a GPS OTAD: è documentato pubblicamente, progettato per uso civile anti-spoofing. GPS OTAD è rimasto non documentato per almeno quindici anni.

Perché interessa le PMI sotto NIS2 e DORA

GPS non è solo posizione

Per una PMI con sistemi GPS-dipendenti, il rischio operativo non è la navigazione. I sistemi tipicamente esposti includono: sincronizzazione NTP-GPS per timestamp legali su log eventi (rilevante per GDPR e NIS2), terminali POS con timing di rete, sistemi SCADA con sincronizzazione oraria, fleet management e tracciatura. La scoperta OTAD non crea una nuova vulnerabilità tecnica immediata. Rivela però che il threat model di chiunque usi GPS include una dipendenza da un sistema di distribuzione chiavi militare non documentato, gestito da un'entità terza senza SLA, senza contratto, senza trasparenza operativa.

Art. 21 NIS2 e Art. 8 DORA: l'obbligo di mappare le dipendenze

La Direttiva (UE) 2022/2555 (NIS2), Art. 21(2)(d), richiede misure per «la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi fornitori diretti». Un sistema GPS-dipendente ha come fornitore indiretto il Comando GPS USA — un soggetto che non firma contratti con le PMI italiane, ma da cui dipendono funzioni operative concrete.

Il Regolamento (UE) 2022/2554 (DORA), Art. 8, richiede l'identificazione e classificazione di tutte le funzioni aziendali dipendenti da sistemi ICT, incluse le dipendenze da fornitori terzi. DORA si applica direttamente alle entità finanziarie (banche, assicurazioni, istituti di pagamento e altri soggetti elencati all'art. 2); per le PMI non-finanziarie la rilevanza è indiretta, come potenziali fornitori ICT critici di entità soggette. In entrambi i casi, il GPS è un fornitore ICT di timing e sincronizzazione — va mappato nel registro delle dipendenze critiche, non lasciato come infrastruttura «invisibile» di sfondo.

Cosa fare adesso

La scoperta non richiede azioni di emergenza, ma un aggiornamento metodico del risk assessment:

  1. Mappa le dipendenze GPS nei tuoi sistemi: identifica ogni componente che usa GPS per timing (NTP-GPS), timestamp legali, autenticazione o sincronizzazione. Sistemi POS, SCADA, logging GDPR, firme digitali con timestamp vanno censiti esplicitamente.
  2. Aggiorna il registro asset ISO 27001: le infrastrutture pubbliche (GPS, BGP, NTP) vanno catalogate come asset di terze parti con risk rating esplicito. La control 8.24 di ISO/IEC 27001:2022 (uso della crittografia) è il riferimento di partenza per i sistemi che dipendono da timing esterno.
  3. Rivedi il threat model GPS: aggiungi la categoria «infrastruttura con dipendenze opache» — un sistema che trasporta dati classificati in canali non documentati presenta rischi di continuità non quantificabili con i modelli standard di spoofing/jamming.
  4. Controlla i contratti con fornitori GPS-dipendenti: sotto NIS2 Art. 21(2)(d), i fornitori terzi che dipendono a loro volta da infrastrutture pubbliche critiche devono essere coperti nella tua analisi del rischio supply chain.
  5. Monitora ENISA e ACN: l'ENISA Space Threat Landscape 2025 (marzo 2025) copre i rischi ai sistemi satellitari in generale; l'ACN pubblica aggiornamenti sulle linee guida NIS2 per la mappatura dipendenze. Iscriviti agli alert di entrambi per gli aggiornamenti GNSS.

Le sanzioni che ricordano cosa è in gioco

La mancata mappatura delle dipendenze critiche da infrastrutture di terze parti è un gap diretto rispetto agli obblighi NIS2 Art. 21(2)(d). Per le entità essenziali, NIS2 Art. 34 prevede sanzioni amministrative fino a €10 milioni o al 2% del fatturato mondiale annuo (la cifra più alta tra le due). Per una PMI con €10M di fatturato, il 2% è €200.000; per una con €50M è €1.000.000. Non «sei cifre» come cifra generica: cifre precise, calcolabili, proporzionate al fatturato.

Sotto DORA Art. 8, un gap nell'identificazione delle dipendenze ICT non produce sanzione diretta immediata, ma è rilevabile in audit da Banca d'Italia e BCE e costituisce base per piani di rimediazione obbligatori — con impatto reputazionale e operativo concreto.

Per approfondire gli obblighi NIS2 italiani in scadenza, vedi NIS2 Italia: le scadenze del 31 ottobre 2026.

Fonti